Microsoft Edge är nu säkrare tack vare Super-Duper Secure Mode
I den officiella bloggen beskriver Microsoft Browser Vulnerability Research-teamet en ny flagga för Microsoft Edge som heter "Super-Duper Secure Mode." Den har för avsikt att förbättra Edges säkerhet genom att inaktivera JIT (Just-in-Time) kompilering i V8 JavaScript-motor. Microsoft säger att buggar i JavaScript i moderna webbläsare är den vanligaste vektorn för angripare. Enligt CVE-data från 2019 relaterar cirka 45 % av attackerna mot V8 till JIT. Att inaktivera den komponenten gör Microsoft Edge säkrare och svårare att knäcka. Dessutom inkluderar "Super-Duper Secure Mode" ytterligare säkerhetsåtgärder och begränsningar.
JIT (även känd som "spekulativ optimering") introducerades 2008 som ett prestationsverktyg för att påskynda JavaScript-scenarier. Det gör webbupplevelsen snabbare och snabbare genom att förkompilera JavaScript-kod innan en webbläsare behöver den. Tyvärr erbjuder den komplexa mekanismen prestandaförbättringar till en säkerhetskostnad. Microsoft hävdar att det är möjligt att fixa hälften av buggarna i V8-motorn genom att inaktivera JIT. Dessutom, enligt Mozilla, missbrukar mer än hälften av alla befintliga Chrome-exploater JIT-buggar. Eftersom de flesta användare tänker på prestanda först och ofta ignorerar säkerhet, är utvecklare villiga att ta risker för att göra webbläsare snabbare.
Microsoft Browser Vulnerability Research-teamet genomförde en serie tester för att kontrollera hur stor prestandanedgång Edge-webbläsaren tar med inaktiverad JIT. Dessa tester inkluderar strömförsörjning, start, minne och försök med sidladdning. Eftersom JIT är ett prestationsförbättrande verktyg finns det vissa regressioner. Även JavaScript-riktmärken, såsom Speedometer 2.0, visade signifikanta resultatminskningar upp till 58 %. Trots det säger Microsoft att användare inte märker prestandaminskning eftersom det riktmärket "bara berättar del av en större historia." Enligt forskningen märker faktiskt användare sällan någon skillnad i deras vardag använda sig av.
Microsoft vill inte inaktivera JIT i Edge-webbläsaren direkt. Företaget har ännu inte beslutat om förbättrad säkerhet är värd några prestandadippar, så forskargruppen kommer att fortsätta att utvärdera faktorer som påverkar prestanda och användningsfallsscenarier.
Aktivera Super-Duper Secure Mode i Edge
Edge Beta, Dev och Canary erbjuder nu Super-Duper Secure Mode-flaggan i edge://flags sektion. Du testar hur inaktivering av JIT påverkar din webbupplevelse genom att navigera till edge://flags/edge-enable-super-duper-security-mode och aktivera Super-Duper Secure Mode.
Från och med nu är det bara ett experiment med ett udda namn som Microsoft lovar att ändra om det kommer till den offentliga releasen. Super-Duper Secure Mode i Edge kan komma att ändras, och du kan hjälpa Microsoft att utvärdera effektiviteten genom att testa det i en av förhandsvisningskanalerna.
Lär dig mer om Super-Duper Secure Mode i Microsoft Edge i ett blogginlägg på den officiella bloggen om Microsoft Browser Vulnerability Research.